Cloud-Risiken erkennen und eingrenzen

Verschlüsselung

Obwohl die meisten Cloud Provider eine Verschlüsselung der Virtual Machines innerhalb der Cloud-Infrastruktur anbieten, bedeutet dies noch lange keine Garantie dafür, dass die Daten sich nicht doch auslesen lassen. Denn: Fast alle Cloud Provider nutzen einen Master Key für die verschlüsselten Daten, und machen von ihm auch Gebrauch. Zum Beispiel bei Anfragen von Regierungsorganisationen händigen Cloud Provider die Daten unverschlüsselt aus.
Um auszuschließen, dass sich ein Mitarbeiter eines Cloud Providers durch den Master Key Zugang zu den Daten verschafft, ist die unternehmensseitige Verschlüsselung der in der Cloud abgelegten Daten mit eigenen Schlüsseln sinnvoll. Dazu kann man entweder auf Filesystem-Ebene verschlüsseln, wie zum Beispiel mit Loop-AES, TrueCrypt oder Crypto-FS, oder die Verschlüsselung der Daten innerhalb der Applikation sicherstellen.

MySQL und Oracle zum Beispiel bieten beide AES-Verschlüsselung der Datensätze innerhalb der Datenbank an. Die unternehmensseitige Verschlüsselung ist ein einfacher, transparenter und kostengünstiger Weg zu mehr Sicherheit.

Solche Bedrohungsszenarien durch Insider sind nicht Cloud-spezifisch. Der Unterschied aber ist der Multiplikatoreffekt, den ein Cloud Provider durch seine eigenen Administratoren und eventuell zusätzlich involvierte Dritte Parteien darstellt. Eine Kontrolle ist durch einen sicherheitsbewussten Kunden kaum möglich.